Ақпараттық қауіпсіздік қауіптерінің 95%-ы белгілі және сіз антивирустар, желіаралық қалқандар, IDS, WAF сияқты дәстүрлі құралдарды пайдалана отырып, өзіңізді одан қорғай аласыз. Қалған 5% қауіп белгісіз және ең қауіпті. Олар компания үшін тәуекелдің 70% құрайды, өйткені оларды анықтау өте қиын, олардан қорғау әлдеқайда аз. Мысалдар WannaCry ransomware эпидемиясы, NotPetya/ExPetr, криптоминерлер, «кибер қару» Stuxnet (Иранның ядролық нысандарына соққы берген) және басқа да көптеген (Kido/Conficker есінде ме?) классикалық қауіпсіздік шараларымен жақсы қорғалмаған басқа да шабуылдар. Біз Threat Hunting технологиясын қолдана отырып, осы 5% қауіпке қарсы тұру туралы сөйлескіміз келеді.
Кибершабуылдардың үздіксіз эволюциясы үнемі анықтауды және қарсы шараларды талап етеді, бұл ақыр соңында бізді шабуылдаушылар мен қорғаушылар арасындағы шексіз қарулану жарысы туралы ойлауға әкеледі. Классикалық қауіпсіздік жүйелері бұдан былай тәуекел деңгейі компанияның негізгі көрсеткіштеріне (экономикалық, саяси, беделіне) әсер етпейтін қауіпсіздіктің қолайлы деңгейін қамтамасыз ете алмайды, оларды нақты инфрақұрылым үшін өзгертпей, бірақ тұтастай алғанда олар кейбір тәуекелдер. Қазірдің өзінде енгізу және конфигурациялау процесінде заманауи қауіпсіздік жүйелері өздерін қуып жету рөлінде болады және жаңа уақыттың сын-қатерлеріне жауап беруі керек.
Threat Hunting технологиясы ақпараттық қауіпсіздік маманы үшін заман талабына жауаптардың бірі болуы мүмкін. Threat Hunting (бұдан әрі – TH) термині бірнеше жыл бұрын пайда болды. Технологияның өзі өте қызықты, бірақ әлі жалпы қабылданған стандарттар мен ережелер жоқ. Мәселе ақпарат көздерінің әркелкілігімен және осы тақырып бойынша орыстілді ақпарат көздерінің аздығымен де қиындайды. Осыған байланысты біз LANIT-Integration компаниясында осы технологияға шолу жазуды шештік.
Сәйкестік
TH технологиясы инфрақұрылымды бақылау процестеріне негізделген.. Ескерту (MSSP қызметтеріне ұқсас) - бұрын жасалған қолтаңбаларды және шабуыл белгілерін іздеудің және оларға жауап берудің дәстүрлі әдісі. Бұл сценарий қолтаңбаға негізделген дәстүрлі қорғау құралдары арқылы сәтті орындалады. Аң аулау (MDR түрі қызметі) – «Қолтаңбалар мен ережелер қайдан келеді?» Деген сұраққа жауап беретін бақылау әдісі. Бұл жасырын немесе бұрын белгісіз индикаторлар мен шабуыл белгілерін талдау арқылы корреляция ережелерін құру процесі. Threat Hunting бақылаудың осы түріне жатады.
Бақылаудың екі түрін біріктіру арқылы ғана біз идеалға жақын қорғаныс аламыз, бірақ әрқашан қалдық тәуекелдің белгілі бір деңгейі болады.
Мониторингтің екі түрін қолдану арқылы қорғау
Міне, TH (және толығымен аңшылық!) барған сайын өзекті бола бастайды:
Қауіптер, қорғау шаралары, тәуекелдер.
. Оларға спам, DDoS, вирустар, руткиттер және басқа классикалық зиянды бағдарламалар сияқты түрлері кіреді. Сол классикалық қауіпсіздік шараларын қолдана отырып, өзіңізді осы қауіптерден қорғай аласыз.
Кез келген жобаны жүзеге асыру барысында, ал қалған 20% жұмыс уақыттың 80% алады. Сол сияқты, бүкіл қауіп ландшафтында жаңа қауіптердің 5% компания үшін тәуекелдің 70% құрайды. Ақпараттық қауіпсіздікті басқару процестері ұйымдастырылған компанияда біз белгілі қауіптерді іске асыру қаупінің 30%-ын болдырмау (сымсыз желілерден принципті түрде бас тарту), қабылдау (қажетті қауіпсіздік шараларын енгізу) немесе ауыстыру арқылы басқара аламыз. (мысалы, интегратордың иығына) бұл тәуекел. Өзіңізді қорғаңыз, APT шабуылдары, фишинг,, кибер тыңшылық және ұлттық операциялар, сондай-ақ басқа да көптеген шабуылдар қазірдің өзінде әлдеқайда қиын. Осы 5% қауіптердің салдары әлдеқайда ауыр болады () антивирустық бағдарламалық құрал сақтайтын спам немесе вирустардың салдарына қарағанда.
Барлығы дерлік 5% қауіппен күресуге тура келеді. Жақында бізге PEAR (PHP Extension and Application Repository) репозиторийінен қолданбаны пайдаланатын ашық бастапқы шешімді орнатуға тура келді. Бұл қолданбаны pear install арқылы орнату әрекеті сәтсіз аяқталды, себебі қолжетімсіз болды (қазір онда түтік бар), оны GitHub-тан орнатуға тура келді. Жақында ғана PEAR құрбан болғаны белгілі болды.
Сіз әлі де есте сақтай аласыз, салық есептілігі бағдарламасына арналған жаңарту модулі арқылы NePetya ransomware індеті. Қауіптер барған сайын жетілдіріліп келеді және логикалық сұрақ туындайды: «Осы 5% қауіпке қалай қарсы тұра аламыз?»
Қауіпті аңшылықтың анықтамасы
Осылайша, Threat Hunting - бұл дәстүрлі қауіпсіздік құралдарымен анықталмайтын кеңейтілген қауіптерді белсенді және қайталанатын іздеу және анықтау процесі. Жетілдірілген қауіптерге, мысалы, APT сияқты шабуылдар, 0 күндік осалдықтарға жасалған шабуылдар, Жерден тыс өмір сүру және т.б. кіреді.
Біз сондай-ақ TH гипотезаны тексеру процесі деп қайта айта аламыз. Бұл автоматтандыру элементтері бар негізінен қолмен орындалатын процесс, онда талдаушы өзінің білімі мен дағдыларына сүйене отырып, белгілі бір қауіптің болуы туралы бастапқы анықталған гипотезаға сәйкес келетін ымыраға келу белгілерін іздеуде ақпараттың үлкен көлемін сүзеді. Оның айрықша ерекшелігі – ақпарат көздерінің алуандығы.
Айта кету керек, Threat Hunting қандай да бір бағдарламалық немесе аппараттық өнім емес. Бұл кейбір шешімдерде көрінетін ескертулер емес. Бұл IOC (Identifiers of Compromise) іздеу процесі емес. Бұл ақпараттық қауіпсіздік талдаушыларының қатысуынсыз жүзеге асырылатын пассивті әрекеттің бір түрі емес. Қауіпті аң аулау - бұл ең алдымен процесс.
Қауіпті аңшылықтың құрамдас бөліктері
Threat Hunting бағдарламасының үш негізгі құрамдас бөлігі: деректер, технология, адамдар.
Деректер (не?), соның ішінде Big Data. Трафик ағындарының барлық түрлері, алдыңғы APT туралы ақпарат, аналитика, пайдаланушы белсенділігі туралы деректер, желі деректері, қызметкерлерден алынған ақпарат, darknet ақпараты және т.б.
Технологиялар (қалай?) бұл деректерді өңдеу - бұл деректерді өңдеудің барлық мүмкін жолдары, соның ішінде Machine Learning.
Адамдар (кім?) – әртүрлі шабуылдарды талдауда үлкен тәжірибесі бар, интуициясы дамыған және шабуылды анықтау қабілеті. Әдетте бұл гипотеза жасау және олар үшін растауды табу мүмкіндігі болуы керек ақпараттық қауіпсіздік талдаушылары. Олар процестің негізгі буыны болып табылады.
ПАРИЖ үлгісі
Адам Бейтман Идеал TH процесі үшін ПАРИЖ үлгісі. Бұл атау Франциядағы әйгілі жерді меңзейді. Бұл модельді екі бағытта қарауға болады - жоғарыдан және төменнен.
Модель арқылы төменнен жоғары қарай жұмыс істеу барысында біз зиянды әрекеттің көптеген дәлелдеріне тап боламыз. Әрбір дәлелде сенімділік деп аталатын өлшем бар - бұл дәлелдердің салмағын көрсететін сипаттама. «Темір», зиянды әрекеттің тікелей дәлелі бар, оған сәйкес біз бірден пирамиданың жоғарғы жағына жетіп, нақты белгілі инфекция туралы нақты ескерту жасай аламыз. Және жанама дәлелдер бар, олардың қосындысы бізді пирамиданың шыңына апара алады. Әдеттегідей, тікелей дәлелдемелерге қарағанда жанама дәлелдер әлдеқайда көп, яғни оларды сұрыптау және талдау қажет, қосымша зерттеулер жүргізу керек және мұны автоматтандыру орынды.
ПАРИЖ үлгісі.
Модельдің жоғарғы бөлігі (1 және 2) автоматтандыру технологиялары мен әртүрлі аналитикаға негізделген, ал төменгі бөлігі (3 және 4) процесті басқаратын белгілі бір біліктілігі бар адамдарға негізделген. Модельді жоғарыдан төмен қарай жылжытуды қарастыруға болады, мұнда көк түстің жоғарғы бөлігінде бізде сенімділік пен сенімділіктің жоғары дәрежесі бар дәстүрлі қауіпсіздік құралдарының (антивирус, EDR, брандмауэр, қолтаңбалар) ескертулері бар, ал төменде көрсеткіштер ( IOC, URL, MD5 және т.б.) сенімділік дәрежесі төмен және қосымша зерттеуді қажет етеді. Ал ең төменгі және ең қалың деңгей (4) – гипотезаларды генерациялау, дәстүрлі қорғаныс құралдарының жұмыс істеуінің жаңа сценарийлерін құру. Бұл деңгей гипотезалардың көрсетілген көздерімен ғана шектелмейді. Деңгей неғұрлым төмен болса, аналитиктің біліктілігіне соғұрлым көп талаптар қойылады.
Аналитиктердің алдын ала анықталған гипотезалардың шектеулі жиынтығын жай ғана тексеріп қоймай, жаңа гипотезалар мен оларды тексеру нұсқаларын жасау үшін үнемі жұмыс істеуі өте маңызды.
TH пайдаланудың жетілу моделі
Идеал әлемде TH үздіксіз процесс. Бірақ идеалды әлем болмағандықтан, талдап көрейік және қолданылатын адамдар, процестер және технологиялар тұрғысынан әдістер. Идеал сфералық TH моделін қарастырайық. Бұл технологияны қолданудың 5 деңгейі бар. Бірыңғай талдаушылар тобының эволюциясын мысалға ала отырып, оларды қарастырайық.
Жетілу деңгейлері
адамдар
Процестер
технология
0 деңгей
SOC талдаушылары
24/7
Дәстүрлі аспаптар:
Дәстүрлі
Ескертулер жинағы
Пассивті бақылау
IDS, AV, Sandboxing,
TH жоқ
Ескертулермен жұмыс
Қолтаңбаны талдау құралдары, Threat Intelligence деректері.
1 деңгей
SOC талдаушылары
Бір реттік TH
EDR
Эксперименттік
Сот сараптамасы бойынша негізгі білім
ХОК іздеу
Желілік құрылғылардан мәліметтерді ішінара қамту
TH-мен эксперименттер
Желілер мен қолданбаларды жақсы білу
Ішінара қолдану
2 деңгей
Уақытша кәсіп
Спринтер
EDR
Мерзімді
Сот сараптамасы бойынша орташа білімі
Аптадан айға
Толық өтініш
Уақытша TH
Желілер мен қолданбаларды жақсы білу
Тұрақты TH
EDR деректерін пайдалануды толық автоматтандыру
Жетілдірілген EDR мүмкіндіктерін ішінара пайдалану
3 деңгей
Арнайы TH пәрмені
24/7
TH гипотезасын жартылай тексеру мүмкіндігі
Алдын алу
Криминалистика және зиянды бағдарламалар туралы жақсы білім
Профилактикалық TH
Жетілдірілген EDR мүмкіндіктерін толық пайдалану
Ерекше жағдайлар TH
Шабуылдаушы тарапты жақсы білу
Ерекше жағдайлар TH
Желілік құрылғылардан алынған деректерді толық қамту
Сіздің қажеттіліктеріңізге сәйкес келетін конфигурация
4 деңгей
Арнайы TH пәрмені
24/7
TH гипотезасын тексерудің толық мүмкіндігі
Жетекші
Криминалистика және зиянды бағдарламалар туралы жақсы білім
Профилактикалық TH
3-деңгей, плюс:
TH пайдалану
Шабуылдаушы тарапты жақсы білу
TH гипотезаларын тестілеу, автоматтандыру және тексеру
деректер көздерінің тығыз интеграциясы;
Зерттеу қабілеті
қажеттіліктерге сәйкес әзірлеу және API стандартты емес пайдалану.
Адамдар, процестер және технологиялар бойынша TH жетілу деңгейлері
0 деңгейі: дәстүрлі, TH қолданбай. Тұрақты талдаушылар стандартты құралдар мен технологияларды пайдалана отырып, пассивті бақылау режимінде ескертулердің стандартты жиынтығымен жұмыс істейді: IDS, AV, құмсалғыш, қолтаңбаны талдау құралдары.
1 деңгейі: эксперименттік, TH пайдалану. Криминалистиканың негізгі білімі бар және желілер мен қосымшаларды жақсы білетін аналитиктер ымыраға келу көрсеткіштерін іздеу арқылы бір реттік Threat Hunting жүргізе алады. Желі құрылғыларының деректерін ішінара қамтитын құралдарға EDR қосылады. Құралдар ішінара пайдаланылады.
2 деңгейі: мерзімді, уақытша TH. Криминалистика, желілер және қолданбалар бөлігінде білімін жетілдіріп үлгерген аналитиктерден айына апта сайын қауіп төндіретін аңшылықпен (спринт) жүйелі түрде айналысу қажет. Құралдар желілік құрылғылардан деректерді толық зерттеуді, EDR деректерін талдауды автоматтандыруды және кеңейтілген EDR мүмкіндіктерін ішінара пайдалануды қосады.
3 деңгейі: ТЖ профилактикалық, жиі кездесетін жағдайлар. Біздің сарапшылар арнайы командаға бірігіп, криминалистика мен зиянды бағдарламаларды жақсы меңгере бастады, сонымен қатар шабуылдаушы тараптың әдістері мен тактикасын біледі. Процесс қазірдің өзінде тәулік бойы жұмыс істейді. Топ желілік құрылғылардан алынған деректерді толық қамту арқылы EDR кеңейтілген мүмкіндіктерін толығымен пайдалана отырып, TH гипотезаларын ішінара тексере алады. Сондай-ақ талдаушылар өз қажеттіліктеріне сай құралдарды конфигурациялай алады.
4 деңгейі: жоғары деңгейлі, TH пайдаланыңыз. Сол команда зерттеушілік қабілетін, TH гипотезаларын тексеру процесін генерациялау және автоматтандыру мүмкіндігін алды. Енді құралдар деректер көздерін тығыз біріктірумен, қажеттіліктерді қанағаттандыру үшін бағдарламалық жасақтаманы әзірлеумен және API интерфейстерін стандартты емес қолданумен толықтырылды.
Қауіпті аң аулау техникасы
Қауіпті аң аулаудың негізгі әдістері
К Қолданылатын технологияның жетілу реті бойынша TH мыналар: негізгі іздеу, статистикалық талдау, визуализация әдістері, қарапайым жинақтаулар, машиналық оқыту және Байес әдістері.
Қарапайым әдіс, негізгі іздеу, арнайы сұраулар арқылы зерттеу аймағын тарылту үшін қолданылады. Статистикалық талдау, мысалы, статистикалық модель түріндегі типтік пайдаланушыны немесе желілік әрекетті құру үшін қолданылады. Визуализация әдістері диаграммалар мен диаграммалар түріндегі деректерді талдауды көрнекі түрде көрсету және жеңілдету үшін қолданылады, бұл үлгідегі үлгілерді анықтауды айтарлықтай жеңілдетеді. Іздеу мен талдауды оңтайландыру үшін негізгі өрістер бойынша қарапайым жинақтау әдісі қолданылады. Ұйымның TH процесі неғұрлым жетілген болса, машиналық оқыту алгоритмдерін пайдалану соғұрлым өзекті болады. Олар сондай-ақ спамды сүзуде, зиянды трафикті анықтауда және алаяқтық әрекеттерді анықтауда кеңінен қолданылады. Машиналық оқыту алгоритмінің неғұрлым жетілдірілген түрі классификацияға, үлгі өлшемін азайтуға және тақырыпты модельдеуге мүмкіндік беретін Байес әдістері болып табылады.
Алмаз үлгісі және TH стратегиялары
Серхио Калтагирон, Эндрю Пендегаст және Кристофер Бетц өз жұмыстарында «» кез келген зиянды әрекеттің негізгі негізгі құрамдастарын және олардың арасындағы негізгі байланысты көрсетті.
Зиянды әрекетке арналған гауһар үлгісі
Бұл модельге сәйкес, сәйкес негізгі құрамдастарға негізделген 4 Threat Hunting стратегиясы бар.
1. Құрбанға бағытталған стратегия. Біз жәбірленушінің қарсыластары бар және олар электрондық пошта арқылы «мүмкіндіктерді» жеткізеді деп есептейміз. Біз поштадан жау деректерін іздейміз. Сілтемелерді, тіркемелерді және т.б. іздеу. Біз бұл гипотезаны белгілі бір уақыт аралығында (бір ай, екі апта) растауды іздейміз, егер оны таппасақ, онда гипотеза жұмыс істемеді.
2. Инфрақұрылымға бағытталған стратегия. Бұл стратегияны қолданудың бірнеше әдістері бар. Қолжетімділік пен көріну мүмкіндігіне байланысты кейбіреулер басқаларға қарағанда оңайырақ. Мысалы, біз зиянды домендерді орналастыру үшін белгілі домендік атау серверлерін бақылаймыз. Немесе біз қарсылас пайдаланатын белгілі үлгі үшін барлық жаңа домендік атауларды тіркеуді бақылау процесінен өтеміз.
3. Мүмкіндікке негізделген стратегия. Көптеген желі қорғаушылары қолданатын құрбанға бағытталған стратегиядан басқа, мүмкіндіктерге бағытталған стратегия бар. Бұл екінші ең танымал және қарсыластың мүмкіндіктерін, атап айтқанда «зиянды бағдарламаны» және қарсыластың psexec, powershell, certutil және т.б. сияқты заңды құралдарды пайдалану мүмкіндігін анықтауға бағытталған.
4. Жауға бағытталған стратегия. Қарсыласқа бағытталған көзқарас қарсыластың өзіне бағытталған. Бұған жалпыға қолжетімді көздерден (OSINT) ашық ақпаратты пайдалану, жау, оның әдістері мен әдістері туралы мәліметтерді жинау (TTP), алдыңғы оқиғаларды талдау, Threat Intelligence деректері және т.б.
TH-дегі ақпарат көздері мен гипотезалар
Threat Hunting үшін кейбір ақпарат көздері
Ақпарат көздері көп болуы мүмкін. Идеалды аналитик айналадағы барлық нәрселерден ақпаратты ала білуі керек. Кез келген дерлік инфрақұрылымдағы типтік көздер қауіпсіздік құралдарының деректері болады: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Сондай-ақ, ақпараттың типтік көздері әртүрлі компромисс көрсеткіштері, Threat Intelligence қызметтері, CERT және OSINT деректері болады. Сонымен қатар, сіз darknet-тен ақпаратты пайдалана аласыз (мысалы, кенеттен ұйым басшысының пошта жәшігін бұзу туралы бұйрық пайда болады немесе желі инженері лауазымына кандидат оның қызметі үшін әшкереленді), HR (бұрынғы жұмыс орнынан үміткердің пікірлері), қауіпсіздік қызметінің ақпараты (мысалы, контрагентті тексеру нәтижелері).
Бірақ барлық қолжетімді көздерді пайдаланбас бұрын, кем дегенде бір гипотеза болуы керек.
Гипотезаларды тексеру үшін алдымен олар алға қойылуы керек. Ал көптеген жоғары сапалы гипотезаларды алға қою үшін жүйелі тәсілді қолдану қажет. Гипотезаларды құру процесі толығырақ сипатталған, бұл схеманы гипотезаларды алға қою процесінің негізі ретінде алу өте ыңғайлы.
Гипотезалардың негізгі көзі болады ATT&CK матрицасы (Қарсыласу тактикасы, техникасы және ортақ білім). Бұл, мәні бойынша, әдетте Kill Chain тұжырымдамасы арқылы сипатталған шабуылдың соңғы қадамдарында өз әрекеттерін жүзеге асыратын шабуылдаушылардың мінез-құлқын бағалауға арналған білім базасы және үлгісі. Яғни, шабуылдаушы кәсіпорынның ішкі желісіне немесе мобильді құрылғыға енгеннен кейінгі кезеңдерде. Білім қоры бастапқыда шабуылда қолданылатын 121 тактика мен техниканың сипаттамасын қамтыды, олардың әрқайсысы Wiki форматында егжей-тегжейлі сипатталған. Әртүрлі Threat Intelligence аналитикасы гипотезаларды құру үшін көз ретінде өте қолайлы. Инфрақұрылымды талдау және ену сынақтарының нәтижелерін ерекше атап өтуге болады - бұл нақты кемшіліктері бар нақты инфрақұрылымға негізделгендіктен бізге темірдей гипотеза бере алатын ең құнды деректер.
Гипотезаны тексеру процесі
Сергей Солдатов әкелді процесті егжей-тегжейлі сипаттай отырып, ол бір жүйеде TH гипотезаларын тексеру процесін көрсетеді. Мен қысқаша сипаттамамен негізгі кезеңдерді көрсетемін.
1-кезең: TI фермасы
Бұл кезеңде бөлектеу қажет нысандар (оларды барлық қауіп деректерімен бірге талдау арқылы) және олардың сипаттамалары үшін белгілерді тағайындау. Бұл файл, URL, MD5, процесс, қызметтік бағдарлама, оқиға. Оларды Threat Intelligence жүйелері арқылы өткізген кезде тегтерді тіркеу қажет. Яғни, бұл сайт CNC-де анау-мынау жылы байқалды, бұл MD5 анандай зиянды бағдарламамен байланысты болды, бұл MD5 зиянды бағдарлама тарататын сайттан жүктелді.
2-кезең: жағдайлар
Екінші кезеңде біз осы объектілердің өзара әрекеттесуін қарастырамыз және осы объектілердің барлығы арасындағы байланыстарды анықтаймыз. Біз жаман нәрсені жасайтын белгіленген жүйелерді аламыз.
3 кезең: талдаушы
Үшінші кезеңде іс талдауда мол тәжірибесі бар тәжірибелі талдаушыға тапсырылады және ол үкім шығарады. Ол бұл кодтың не, қайда, қалай, неліктен және неліктен жасайтынын байттарға талдайды. Бұл орган зиянды бағдарлама болды, бұл компьютер жұқтырылды. Нысандар арасындағы байланыстарды көрсетеді, құм жәшігінен өту нәтижелерін тексереді.
Талдаушы жұмысының нәтижелері одан әрі беріледі. Сандық криминалистика кескіндерді зерттейді, зиянды бағдарламалық құралды талдау табылған «денелерді» зерттейді және Оқиғаға жауап беру тобы сайтқа кіріп, сол жерде болған нәрсені зерттей алады. Жұмыстың нәтижесі расталған гипотеза, анықталған шабуыл және оған қарсы тұру жолдары болады.
Нәтижелері
Threat Hunting - бұл реттелетін, жаңа және стандартты емес қауіптерге тиімді қарсы тұра алатын, мұндай қауіптердің санының өсуі мен корпоративтік инфрақұрылымның күрделене түсуін ескере отырып, оның болашағы зор. Ол үш компонентті қажет етеді - деректер, құралдар және талдаушылар. Threat Hunting артықшылықтары қатерлерді жүзеге асырудың алдын алумен шектелмейді. Іздеу барысында біз қауіпсіздік сарапшысының көзімен инфрақұрылымымызға және оның әлсіз тұстарына енетінімізді және осы нүктелерді одан әрі нығайта алатынымызды ұмытпаңыз.
Біздің ойымызша, ұйымыңызда TH процесін бастау үшін жасалуы керек алғашқы қадамдар.
- Соңғы нүктелер мен желілік инфрақұрылымды қорғау туралы қамқорлық жасаңыз. Желідегі барлық процестердің көрінуіне (NetFlow) және басқаруына (брандмауэр, IDS, IPS, DLP) қамқорлық жасаңыз. Желіңізді шеткі маршрутизатордан соңғы хостқа дейін біліңіз.
- Зерттеу.
- Кем дегенде негізгі сыртқы ресурстардың тұрақты пентесттерін өткізіңіз, оның нәтижелерін талдаңыз, шабуылдың негізгі мақсаттарын анықтаңыз және олардың осалдықтарын жабыңыз.
- Ашық бастапқы Threat Intelligence жүйесін (мысалы, MISP, Yeti) енгізіңіз және онымен бірге журналдарды талдаңыз.
- Оқиғаға жауап беру платформасын (IRP) іске қосыңыз: R-Vision IRP, Hive, күдікті файлдарды талдауға арналған құмсалғыш (FortiSandbox, Cuckoo).
- Күнделікті процестерді автоматтандыру. Журналдарды талдау, оқиғаларды тіркеу, қызметкерлерді ақпараттандыру - автоматтандырудың үлкен саласы.
- Оқиғалар бойынша бірлесіп жұмыс істеу үшін инженерлермен, әзірлеушілермен және техникалық қолдау көрсетумен тиімді өзара әрекеттесуді үйреніңіз.
- Бүкіл процесті, негізгі сәттерді, қол жеткізілген нәтижелерді кейінірек қайтару немесе бұл деректерді әріптестермен бөлісу үшін құжаттаңыз;
- Әлеуметтік болыңыз: қызметкерлеріңізбен не болып жатқанынан хабардар болыңыз, сіз кімді жалдайсыз және ұйымның ақпараттық ресурстарына кімге рұқсат бересіз.
- Жаңа қауіптер мен қорғау әдістері саласындағы трендтерден хабардар болыңыз, техникалық сауаттылық деңгейіңізді арттырыңыз (соның ішінде IT қызметтері мен ішкі жүйелерінің жұмысында), конференцияларға қатысып, әріптестеріңізбен байланысыңыз.
Түсініктемелерде TH процесін ұйымдастыруды талқылауға дайын.
Немесе бізбен жұмыс істеуге келіңіз!
Зерттеуге арналған дереккөздер мен материалдар
Ақпарат көзі: www.habr.com